Windows系统取证研究

为了有效打击计算机犯罪,解决计算机取证中的技术问题,文章对现有的计算机取证体系结构及Windows系统的取证关键技术进行分析,提出了基于Windows系统的犯罪现场易失性证据的收集和分析方法.     

Widows 7环境下电子取证特点分析

随着微软新一代操作系统Windows7的普及,计算机取证调查人员将在实际工作中越来越多的遇到Windows7操作系统,本文介绍了Windows7环境下调查人员需要了解的取证特点以及对取证的影响进行简要的介绍和分析。     

Windows8操作系统计算机取证新特性浅析

针对Windows8系统新特性,讨论在Windows 8系统下的计算机取证问题,着重介绍了注册表分析、Metro用户界面、IE 10和通讯类应用取证时应当注意的问题.     

Windows 8回收站取证分析

在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。     

基于Windows系统的入侵证据收集研究

目前,世界各国对计算机取证技术进行了大量的研究与实践,但是大多数都是基于Linux(Unix)系统的计算机取证技术研究,而Windows系统作为目前最常用的操作系统,尤其在我们国家大多数人都在使用,因此,研究windows系统上的入侵证据收集方法具有非常重要的现实意义。通过对Windows系统特性分析,给出显形证据与隐形证据的收集方法,以获取重要的入侵线索和结论。为解决计算机取证遇到的问题,打击计算机犯罪、保障国家信息安全做出贡献。     

基于Windows 平台的动态取证系统

针对目前一些动态取证模型的不足,在分布式网络取证模型的基础上设计了一个基于Windows平台的动态取证系统,能够实现网络中的计算机作为作案目标和作案工具双重角色时的取证,具有实时获取多种数据源、取证过程隐秘、取证分析算法可扩展等特点。介绍了动态取证系统中各功能模块设计,并阐述了系统设计中涉及到的关键技术,最后通过模拟测试表明该系统能够在Windows网络下实现动态取证。     

Windows 8操作系统新变化及其取证分析

所谓Windows 8操作系统新变化是与之前Windows系列操作系统相比较而言的,在计算机取证工作中要特别注意不同版本操作系统的变化对取证工作带来的影响.文章主要对Windows 8与之前几个版本之间进行对比,总结归纳出Windows 8操作系统的一些新变化,并重点结合取证工作重点对这些新的变化进行分析,以期为计算机取证工作带来更多便利.     

Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材.文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析.     

UNIX系统下的计算机取证证据收集与分析

针对UNIX系统下的计算机取证工具难以及时收集所有现场证据的问题,对基于UNIX系统的计算机取证关键技术——UNIX证据收集、UNIX证据分析进行深入研究。提出用UNIX系统命令对现场证据进行收集与分析。实验证明,该方法能为实时取证提供更完整、更及时的数据,从而更有效地打击计算机犯罪。     

计算机取证中的物理内存取证分析方法研究

阐述物理内存取证分析的基本概念及相关研究现状,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作.     

Windows Bootkit实现及其检测系统设计

作为新型的劫持系统内核技术,Windows Bootkit具有较强的隐蔽性和免杀能力,引发了严峻的计算机安全问题。通过分析研究Windows Bootkit的实现方式,并结合可信计算检测原理,设计了一种基于可信计算技术的Windows Bootkit检测系统,应用结果表明,该系统能检测出各种形式的Windows Bootkit,可有效增强Windows操作系统下计算机的安全性。     

Windows 8下基于镜像文件的内存取证研究

内存取证是计算机取证的一个重要分支,而获取内存镜像文件中进程和线程信息是内存取证技术的重点和难点。基于微软最新操作系统平台Windows 8,研究其进程和线程的获取方法。运用逆向工程分析技术对Windows 8下进程和线程相关内核数据结构进行分析,提取出相应特征;基于这些特征,提出了一种能够从物理内存镜像文件中得到系统当前进程和线程信息的算法。实验结果和分析表明,该算法能够成功提取隐藏进程和非隐藏进程,及其各进程相关的线程信息,为内存取证分析提供了可靠的数据基础。     

基于KPCR结构的Windows物理内存分析方法

介绍了计算机在线取证方式的优势,总结了目前国外在计算机物理内存分析的研究现状及其存在的不足,在此基础上提出了一种新的Windows物理内存分析方法——基于KPCR结构的物理内存分析方法。与传统的物理内存方法相比,这种方法更为可靠,适用范围更广,具有很高的实用价值。     

Uncovering a User’s Hidden Tracks

Uncovering a computer user’s past activities is one of the most common tasks for a computer forensics investigator. Often, this task is straightforward and can be accomplished primarily through a detailed analysis of the relevant data and application files present on a system. However, a tremendous amount of information can also be discovered which might otherwise be thought lost or hidden. By discovering data on a computer which a suspect has tried to hide or destroy, or by uncovering information in the depths of the operating system (or even in areas no longer used by the operating system) an investigator may be able to gain vital evidence. This article describes some of the methods used by investigators to uncover these types of data on Windows systems.     

Windows RootKit检测与取证技术研究

文章首先对近几年来Windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做了介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。     

高校多媒体教室计算机系统的科学架构

针对美国东部时间2014年4月8日午夜零点已全面停止Windows XP视窗操作系统安全更新,不再修补XP系统的安全漏洞,安装XP系统的用户面临极大的风险。由于国内各高等学校多媒体教室计算机操作系统大多使用的是Windows XP,面对XP的停服,不再保护教室计算机系统的安全,各种漏洞将不断出现,面临病毒入侵的风险,如不尽快采取措施,升级多媒体教室计算机操作系统,将会影响多媒体教学工作。为做好多媒体教室计算机操作系统的升级工作,使教师尽快掌握Windows 7操作系统的使用技巧,更好地服务于高校多媒体教学,故必须对高校多媒体教室计算机系统重新进行科学架构。     

内存取证研究与进展

网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源和发展演化过程;其次介绍了操作系统内存管理关键机制;然后探讨了内存取证的数据获取和分析方法,归纳总结目前内存取证研究的最新技术;最后讨论了内存取证存在的问题、发展趋势和进一步的研究方向.